韓國「2021年經濟政策」

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

德國聯邦藥品暨醫療器材管理署（Bundesinstitut für Arzneimittel und Medizinprodukte, BfArM）於2022年3月18日發布3.1版《數位健康應用程式指引》（Digitale Gesundheitsanwendungen(DiGA) Leitfaden），主要針對3.0版未詳盡之「系統數據分析」（Systematische Datenauswertung）部分作補充說明（參考資料四，頁152以下）。 德國於2019年12月即透過《數位化創新醫療服務法》（Digitale-Versorgung-Gesetz, DVG）修訂《社會法典》第五編（Sozialgesetzbuch Fünftes Buch, SGB V）關於法定健康保險之規定，賦予數位療法（Digital Therapeutics, DTx）納保給付的法律基礎，BfArM並透過《數位健康應用程式管理辦法》（Digitale Gesundheitsanwendungen-Verordnung – DiGAV）建構處方數位療法（Prescription Digital Therapeutics, PDT）的管理架構並發布DiGA指引，使數位療法得以快速被納入法定健康保險給付範圍。 開發商之數位健康應用程式取得歐盟醫療器材規則（Medical device regulation, MDR）CE Mark I & IIa級認證之後，得向BfArM提交申請，若該應用程式「符合法規要求」（Anforderungen），並具有「積極醫療效果」（Positive Versorgunseffekte），則該應用程式最快可以在三個月取得永久許可，通過許可將被列入DiGA目錄（DiGA-Verzeichnis）當中；而若僅「符合法規要求」則會被暫時收錄，需在十二個月內補上「積極醫療效果」的證據或報告，以取得永久許可，否則會從DiGA目錄中刪除。DiGA目錄中的應用程式（包含臨時許可）會納入單一支付標準（Einheitlicher Bewertungsmaßstab, EBM），法定健康保險將依該標準表列之金額給付給製造商。 目前DiGA目錄上共有36款應用程式，當中13款取得永久許可、19款取得臨時許可、另有4款被刪除；三分之一的應用程式係用於治療焦慮或憂鬱等精神疾病，其他尚包括治療耳鳴或肥胖症等疾病。病患近用DiGA目錄中之應用程式的途徑有二：透過醫師開立處方，或是依照醫師診斷之病症自行在DiGA目錄中查找對應的應用程式後提交處方申請。法定健康保險將會依照該應用程式被使用之次數，對照EBM所列之價額後，給付費用予開發商。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）

中國大陸商業特許經營相關法律法規分析 科技法律研究所 法律研究員　汪奇蕙 2015年03月20日 　　連鎖加盟（中國大陸稱商業特許經營）在台灣或許已經是一種發展成熟的商業模式，對於中國大陸而言，則是上世紀80年代經濟改革之後才始見，相對於台灣市場或世界其他先進經濟體，中國大陸起步較晚，但是發展快速。眼見連鎖加盟行業在中國大陸的發展時機越趨成熟，台商界也掀起連鎖加盟的熱潮。 　　但在秩序相對混亂、競爭相對激烈的中國大陸市場，經營面向的風險也許難以預先掌控，但是複雜的相關政策和規定則是要前往該地投資的台商必須正視並且了解的，本文提供商業特許經營（以下簡稱特許經營）相關法規的分析，期待在發展商業之餘，台資特許人可以更敏銳的維護自身權利。 壹、主管法律法規 　　2007年開始，中國大陸第一部特許經營專門法令《商業特許經營管理條例》（以下簡稱《管理條例》）以及配套的《商業特許經營備案管理辦法》（以下簡稱《備案管理辦法》）、《商業特許經營信息披露管理辦法》（以下簡稱《信息披露管理辦法》）由國務院及其下屬機關陸續頒布施行，讓中國大陸連鎖加盟的法令更加完善。 　　《管理條例》中介紹有關中國大陸政府對特許經營的定義內容，特許經營權的內容是指特許人擁有或有權授予他人使用註冊商標、企業標誌、專利、專有技術等經營資源[1]。註冊商標、企業標誌或商號是表彰該特許經營事業的品牌，具有讓消費者迅速辨識獨特商品或服務的商業利益；專利、專有技術(包含管理系統及特定商業模式)則是支持商品或服務內容具有獨特性、競爭力的特許經營事業技術。 　　《管理條例》對於特許人的資格條件、特許經營事業備案、特許合同內容要件、特許人的信息披露義務以及特許人違反該條例的罰則皆有概括的規範。《備案管理辦法》、《信息披露管理辦法》也是在上位的《管理條例》法規授權下逐步生成，成為具體行政施行的準則。 貳、關於特許人資格 　　依照《管理條例》規定，特許人資格條件有二個方面需要具備。 一、只有企業法人有資格成為特許人。 　　企業以外的單位和個人都不能成為特許人[2]。 二、特許人必須有成熟的經營模式[3]。 　　特許人在發展加盟以前應當至少擁有2個直營超過1年的直營店。而且特許人要具備持續提供被特許人經營指導、技術支持和業務培訓等服務能力，上述各種能力，特許人在備案過程將被要求提供證明文件，比如備案時特許人要提交與經營活動相關的商標權、專利權有效的註冊證書；此外，《信息披露管理辦法》中要求特許人要事先披露擁有的經營資源情況和持續提供被特許人服務的情況[4]。 參、關於特許合同要件[5] 　　以下為《管理條例》所列舉的合同要件及簡要說明： 一、特許人、被特許人的基本資訊 　　如雙方地址、連絡方式、公司註冊號碼等。 二、特許經營的內容、期限 　　特許人持有的特許經營系統、經營範圍介紹，特許人授予被特許人的特許經營權性質（單店特許或區域特許[6]），被特許人的特許經營活動和範圍限制（營業地及加盟店介紹、被授予的特許經營權是否具有獨占性或排他性），特許經營合同的期限[7]以及可續期條件等。 三、特許經營費用的種類、金額及其支付方式 　　加盟費用、保證金、其他約定費用及雙方約定分攤費用的支付比例（如房地產和裝修費用、設備等購置費；管銷費用等），支付方式及收取後的確認方式。 四、經營指導、技術支持以及業務培訓等服務的具體內容和提供方式 　　約定被特許人是否有義務要接受特許人定期或不定期的經營活動指導、檢查，以利整體特許經營事業的統一性發展。 五、產品或服務的質量、標準要求和保證措施 　　特許人可依產品或服務的性質自己建立品管的標準要求。 六、產品或者服務的促銷與廣告宣傳 　　是否允許被特許人自行策劃，以及其可從事推廣或宣傳活動的範圍。 七、特許經營中的消費者權益保護和賠償責任的承擔 　　約定雙方因故意或過失造成消費者權益受損或整體特許經營事業所受損失（包含商譽損失）的責任承擔。 八、特許經營合同的變更、解除和終止 　　被特許人是否可以轉讓特許經營內容及合同義務，及可以轉讓的條件（如事前通知期）。建議特許人要保留因被特許人自行對消費者提供瑕疵產品或服務以至於消費者對特許人求償損失的追索權利，以及因被特許人故意或過失造成整體特許經營事業所受損失（包含商譽損失）的求償權利。 九、違約責任 　　約定雙方違反合同條款約定行為的法律後果。 十、爭議的解決方式 　　雙方有爭議時的調解管道，以及若欲訴訟，約定訴訟管轄地等。 肆、關於特許經營事業備案[8] 　　為加強對特許經營行業的管理，協助潛在被特許人了解該特許事業的基本資訊，《管理條例》設立了事後備案的監管制度。 　　特許人應自首次訂立合同之日15日內向商務主管部門備案。應向特許人所在地的省、自治區、直轄市政府的商務主管部門備案。跨省的特許經營事業應該向國務院商務部備案。 　　中國大陸目前已啟用網路備案方式以加快備案手續及效率，特許人登錄國務院商務部主管的《中國商業特許經營網》[9]註冊後，將註冊完成的特許人信息表和相關紙本文件[10]帶到當地備案管理部門[11]進行審核，審核通過後備案管理部門會發給特許人備案系統登錄帳號和登錄密碼。特許人登錄在《中國商業特許經營網》的特許經營備案系統後，可以在網路上進行《備案管理辦法》中規定的資料填寫或電子檔案的上傳工作。 伍、關於特許經營信息披露 　　除了對特許人資格的具體規定以及建立事後審查制度，中國大陸對於特許經營關係中，授權方特許人應該於特許經營關係成立前應揭露給被特許人知悉的相關資訊也有明確的規範，此種規範除了保障被授權人可在資訊透明的條件下做出商業決策，當特許人的特許資料登錄於信息披露網站，也有助於潛在投資人對於該商業規劃的了解，間接促進了整體特許經營行業的能見度和活躍性。 　　根據《信息披露管理辦法》的規定，特許人在訂立特許經營合同前至少30日應以書面形式向被特許人提供有關資訊和特許經營合同文本。 　　對於違反特許經營信息披露的特許人，除依《管理條例》第27條規定受行政罰則外，依《管理條例》第23條規定，特許人隱瞞有關訊息或提供虛偽不實訊息的，被特許人享有法定解除權。 　　法律實務中，法院會綜合考量特許人所隱瞞的程度或者所提供的虛偽不實訊息的重要性、與事實的差異性來區分是惡意詐欺還是商業話術，盡可能維護特許經營合同的穩定性，避免被特許人一旦經營失敗就把全部責任轉嫁給特許人[12]。 陸、特許經營合同知識產權授權特別注意要點 　　特許經營事業中以知識產權（智慧財產權）的授權為主要內容，應在特許經營合同中一併約定使用條件，特許人應以事前具體約定方式完整保護知識產權及特許經營事業。 一、約定具體的特許經營範圍 　　特許經營權的授予是屬於單店特許或是區域特許，單店特許者應明定單店資訊，區域特許者應界定區域範圍（如城市、省名）。 　　特許經營權的授予是否具有獨占性、排他性、非排他性。被特許人可否自行再設立其他分店或以特許人身分再授予第三方。 二、約定知識產權的使用方式 　　被特許人須依特許人的要求來使用特許經營資源，如商標的使用方式、使用位置，可以用特許人的經營手冊加以細化。 三、約定知識產權授權後被特許人的義務 　　被特許人以特許人授予的知識產權開展經營後，應當盡的品質保證、品質監督義務。特許經營合同中除概括被特許人監督產出責任外，也可以列舉方式約定被特許人的監督義務，例如被特許人應監督其雇用人員按照特許人約定的方式出產商品或服務、定期向特許人提出產品質量檢查報告。 四、約定特許人監督特許經營事業的權利 　　除了被動等待被特許人提交經營報告（可包含營業狀況以及財報），特許合同應保留特許人主動對特許經營事業進行檢查、監督、考核的權利，並要求被特許人在合約期間應執行特許人檢查考核後的跟營業相關的決策。 五、約定合同到期後的被特許人使用特許經營資源的狀況 　　約定特許經營關係結束後，被特許人是否能再以特許人加盟店的形式進行商業活動，包含被特許人是否應向原註冊機關進行註銷登記（如註銷營業執照或變更企業名稱），是否能再使用特許人商標。 　　另外，因特許經營權授予而獲得的商標以外的相關知識產權（如手冊、培訓教案、軟體等）也應約定是否還能繼續使用。 柒、結論 　　特許經營事業的成功，除取決於特許人法律法規的掌控，對各項與特許資源相關的知識產權的保護也是維持特許事業穩定成長的重要策略。中國大陸政府因為特許經營事業的特殊性而制定特別的法律及行政規則，期待本文對特許經營法律法規的介紹以及相關知識產權授權應留意的面向建議能對有意前往對岸投資的台資特許人產生實質幫助。 [1]《商業特許經營管理條例》第3條（中國國務院令第485號2007.02.06）。 [2]《商業特許經營管理條例》第3條（中國國務院令第485號2007.02.06）。 [3]《商業特許經營管理條例》第7條（中國國務院令第485號2007.02.06）。 [4]《商業特許經營信息披露管理辦法》 第5條（中華人民共和國商務部令2012年第2號2012.02.23）。 [5]《商業特許經營管理條例》第11條（中國國務院令第485號2007.02.06）。 [6]指特許人授予的特許經營權是僅限於單一加盟店使用或是某一地理區域內可成立數個加盟店。 [7]《商業特許經營管理條例》第13條 規訂合同約定的特許經營期限應該不少於3年，但雙方如有其他約定，可以在合同中註明，即只需雙方合意就可更改特許經營期限。 [8]《商業特許經營管理條例》第8條（中國國務院令第485號2007.02.06）。 [9]主頁，中國商業特許經營網http://txjy.syggs.mofcom.gov.cn/ 。 [10] 各地方主管機關要求的紙本文件可能不一。 [11] 當地的商務委員會。 [12] 王樹章、吳平平，《關於商業特許經營合同審判實踐若干問題的調研報告》，知識產權庭課題組，頁9。

　　英國金融行為監督總署（Financial Conduct Authority, FCA）與英國財政部、英格蘭銀行於2018年3月共同組成「加密資產專案小組」（Cryptoasset Taskforce），為英國政府「金融科技產業戰略」（Fintech Sector Strategy）之一環。2019年1月23日，FCA公布《加密資產指引》（Guidance on Cryptoassets）諮詢文件，除在配合加密資產專案小組之調查、研究外，亦在於落實FCA作為金融監理主管機關，盤點及釐清法規適用之職責，以妥適因應金融科技發展。公眾意見徵集期間至2019年5月4日，FCA並預計在同年夏季提出最終版本的報告。 　　依據《加密資產指引》，FCA臚列了四項監理代幣（token）可能的法源依據，包含： （1）受監管活動指令（Regulated Activities Order）下的「特定投資項目」。 （2）歐盟金融工具市場指令II（MiFID II）下的「金融工具」。 （3）電子貨幣條例（E-Money Regulations）下之「電子貨幣」。 （4）支付服務條例（Payment Services Regulations）。 　　由於加密資產市場與分散式記帳技術發展迅速，參與者迫切需求更清晰之監理規範，包含交易匯兌、主管機關等，避免因誤觸受管制之活動（regulated activities）而遭受裁罰。其次，FCA亦希望能強化消費者保護，依照加密資產商品類型，讓消費者知道可以尋求何種法律上之保障。